A empresa de internet intelligence GreyNoise informou que registrou um aumento significativo na atividade de scanning, com quase 1.971 endereços IP realizando probes simultâneos nos portais de autenticação do Microsoft Remote Desktop Web Access e do RDP Web Client, o que sugere uma campanha coordenada de reconhecimento (reconnaissance).
Os pesquisadores afirmam que essa é uma mudança significativa no padrão de atividade, já que a empresa geralmente identifica apenas de 3 a 5 IPs por dia realizando esse tipo de scanning.
De acordo com a GreyNoise, essa onda de scans está testando timing flaws que podem ser usados para verificar usernames, preparando o terreno para futuros ataques baseados em credenciais, como brute force ou password-spray.
Timing flaws ocorrem quando o tempo de resposta de um sistema ou requisição revela, de forma não intencional, informações sensíveis.
No caso, uma pequena diferença no tempo de resposta do RDP a tentativas de login com um usuário válido em comparação a um inválido pode permitir que atacantes inferam se o username está correto.
A GreyNoise também destaca que 1.851 IPs compartilharam a mesma client signature, e desses, aproximadamente 92% já estavam marcados como maliciosos.
Os endereços IP são predominantemente originários do Brasil e estavam direcionados a IPs nos Estados Unidos, indicando que pode se tratar de um único botnet ou conjunto de ferramentas realizando os scans.
Os pesquisadores afirmam ainda que o período em que o ataque ocorreu coincide com a temporada de volta às aulas nos EUA, momento em que escolas e universidades podem estar reativando seus sistemas RDP.
“O timing pode não ser acidental. O dia 21 de agosto está exatamente dentro da janela de volta às aulas nos EUA, quando universidades e escolas K-12 trazem laboratórios baseados em RDP e acesso remoto online, além de cadastrar milhares de novas contas”, explica Noah Stone, da GreyNoise.
“Esses ambientes frequentemente utilizam formatos previsíveis para usernames (como student IDs, firstname.lastname), tornando a enumeração mais eficaz.
Combinado a restrições orçamentárias e a prioridade na acessibilidade durante as matrículas, a exposição pode aumentar significativamente.”
Porém, o aumento nos scans também pode indicar a descoberta de uma nova vulnerabilidade, dado que a GreyNoise já identificou que picos em tráfego malicioso costumam preceder a divulgação de novas falhas.
Administradores de Windows que gerenciam portais RDP e dispositivos expostos devem garantir que suas contas estejam devidamente protegidas com autenticação multifator (multi-factor authentication) e, se possível, colocar esses sistemas atrás de VPNs.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...